我正在使用AWS cognito(使用放大身份验证)构建Vue应用程序。我对XSS知之甚少,并且想保护我的网站免受它的侵害。特别是如何保护我的Cognito身份验证属性免受xss攻击。我已经对此主题进行了大量研究,但找不到任何解决方案。
我可以清理输入客户端和服务器端的输入,但是我不确定如何处理认知属性:用户名,密码和电子邮件地址。我无法对这些服务器端进行消毒,因为它们直接发送到了cognito,而且我无法触摸它们。
我应该在客户端对它们进行消毒吗?我知道,例如,包含xss可疑代码的用户名和电子邮件地址被cognito接受并由他们保存。我可以让他们下载并在我的应用程序中显示这些值(据我所知这是不好的,因为这将运行攻击者注入的恶意代码)。在显示它之前我要消毒吗?
如果我在继续进行认知之前进行了清理,则用户输入的值会更改,因此,例如,其电子邮件地址的清理版本不再是他们给定的地址。与用户名类似。
赞赏通过cognito身份验证属性(用户名,密码和电子邮件地址)防止xss攻击的任何帮助。